13.12.10, Englisch
Bei Verdacht auf eine Infektion mit einem Bot kann man den Rechner statt mit Rootkit-Detektoren und Virenscannern auch mit einem Netzwerkanalysator wie Wireshark untersuchen. Dazu beobachtet man mit einer lokalen Installation des Tools den Datenverkehr der Ethernetschnittstelle.
Viele Bots versenden größere Mengen von UDP-Paketen an ihren Kontrollserver, was sich in zahlreichen mitgeschnittenen Paketen in Wireshark äußert. Oft verraten sich Bots durch den Verbindungsaufbau zu einem Channel auf einem IRC-Server. Praktischerweise zeigt Wireshark bei den mitgelesenen Paketen gleich an, um welche Art es sich handelt, sodass man IRC-Verkehr sehr schnell erkennt. Zwar verschlüsseln einige Bots ihre IRC-Kommunikation, aber allein der Kontakt zu solch einem Server sollte bereits Hinweis genug sein – sofern man einen selbst installierten IRC-Client als Ursache ausschließen kann.
Um die beim Sniffen aufkommende Datenmenge zu reduzieren, sollte man vor dem Start von Wireshark alle Online-Anwendungen und Update-Dienste beenden.
Wireshark benötigt WinPCap, das bereits in der Installationsdatei enthalten ist und mitinstalliert wird. Das Programm ist auch als portable Version erhältlich. (dab)
WinPCap wird auch bei der portablen Version installiert und braucht dafür Administratorrechte.
Ein Paketsniffer ist gleichzeitig bester Freund und letzte Rettung des Netzwerk-Admins. Durch Beobachtung des Datenverkehrs kann er Fehler finden, den Ablauf von Protokollen verstehen oder einfach den Usern auf die Finger sehen. Das Standardwerkzeug für alle Betriebssysteme ist Wireshark , das viele Analyse- und Statistik-Funktionen mitbringt. Die portable Windows-Version läuft auch ohne Installation auf dem PC von einem USB-Stick. (je)
Verlinken Sie Wireshark auf Ihrer Homepage oder Ihrem Blog:
Programmdaten aktualisieren
(nur für Autoren/Hersteller)
Datensatz zuletzt aktualisiert
am 25.05.12
Alle Angaben ohne Gewähr.
Melden: Neue Version | Falsche Programmdaten | Download-Probleme | Viren/Trojaner/Spyware | bessere Screenshots
Nr. 1
hTm
22.06.10 18:50
melden
Sie müssen sich einloggen um Kommentare schreiben zu können.
